AD迁移.doc

1、活动目录的用户迁移目的：将A域中的用户迁移到B域(目标域)中要点：1 需要有活动目录迁移工具ADMT2 安装support工具3 安装ADMINPAK4 需要提升林功能级别为Windows 2003模式5 在两个域的DNS上建立对方域的辅助区域6 创建林双向信任关系5迁移时是在目标域上操作的步骤：1 安装活动目录迁移工具ADMT在微软的官方网站上有下载，目前最新版本是ADMT 3.0。要安装在目标域中，在本实验中就是安装在B域的DC上。2 提升林功能级别为Windows Server 2003模式提升林功能级别的目的是为了建立林范围的双向信任关系。首先，想提升林功能级别为Windows Ser

2、ver 2003模式，必须要将域中的所有DC的域功能级别提升为Windows 2000纯模式或Windows Server 2003模式后,才能把林功能级别提升为Windows 2003模式在DC上，打开AD用户和计算机，鼠标右键域选项 选提升域功能级别选Windows 2000纯模式，点提升，然后确定然后，打开AD域和信任关系，鼠标右键AD域和信任关系选提升林功能级别为Windows Server 2003模式将林功能级别提升为Windows Server 2003模式后，林中的域功能级别也相应的被提升为Windows Server 2003模式。只有将域功能级别提升为Windows 200

3、0纯模式或Windows server 2003模式，才能将林功能级别提升为Windows server 2003模式。上图为提升完林功能级别为Windows Server 2003后，域功能级别也被提升为Windows Server 2003模式了。注意的是：提升域功能级别是在AD用户和计算机上和AD域和信任关系上做的操作而提升林功能级别是在AD域和信任关系上做的操作。而且，提升林的功能级别的目的是为了建立林范围的信任关系。3在两个域的DNS上各建立对方域的辅助区域在DC上打开DNS，开始-运行里输入dnsmgmt.msc，如下图新建区域-辅助区域，如下图下一步区域名称里写对方域名，点下一步

4、在IP地址里写对方域的DNS服务器的IP地址，然后点添加，下一步完成辅助区域的创建然后展开正向查找区域，如下图可以看到辅助域出现了一个大红叉，这是因为在辅助域的DNS上还没有允许区域复制。打开对方域控的DNS，展开正向查找区域，鼠标右键区域选属性，选区域复制标签，在允许区域复制前打勾，选定只允许到下列服务器，在IP地址下添写复制域的DNS服务器的IP地址192.168.1.1，如下图然后回到复制域的DNS中，看看被复制区域是否复制过来，如下图可以看到区域已经成功复制过来了。建立双向的区域复制4创建林双向信任关系创建林的双向信任关系，选择在任意一个域的DC上创建林范围的双向信任关系。打开AD域和

5、信任关系，鼠标右键域，如下图选属性，然后选信任标签，如下图在左下角点新建信任，如下图点下一步，如下图添加信任的域，然后点下一步选择林信任，点下一步选择双向，点下一步这里选择“这个域和指定的域”，实现双向信任，点下一步这里输入信任域的管理员和密码，也就是本域的管理员和密码，点下一步这里选择全林性身份验证，点下一步同样也是全林性身份验证，点下一步完成双向林信任关系的创建。在对方域中的DC上，打开AD域和信任关系，打开信任，如下图林范围的双向信任已建立7 活动目录用户的迁移前4步的操作都是为了迁移做的准备工作。迁移工作要在域中实现首先，在被迁移域的DC上创建两个用户然后在迁移域的DC上，把被迁移域的

6、DC上的两个用户迁移到当前域（迁移域）在迁移域的DC上打开活动目录迁移工具ADMT，点开始-管理工具- Active Directory迁移工具鼠标右键Active Directory迁移工具，选第一个用户帐户迁移向导点下一步在源域上选被迁移域，目标域上选迁移域（当前域），点下一步选择从域中选择用户，然后点下一步点添加，把被迁移域中的两个用户添加进来，下一步点浏览来进行选择，点下一步选生成复杂密码，然后点下一步根据具体环境来做相应个选择。这里默认好了，点下一步根据具体环境来做相应个选择。点下一步选不排除对象属性，也可根据具体的环境来做修改。如果排除了，将不会进行迁移。点下一步出现迁移进度对话框点查看日志可以查看迁移日志。然后打开AD用户和计算机